servere de catalog Global
Fiecare administrator de sistem care funcționează cu Active Directory Domain Services, cel puțin o dată în timpul activității sale se confruntă cu un catalog global, dar nu toată lumea crede că administratorul de sistem, ceea ce este catalogul global, și ceea ce este pentru. Catalog Global (Global Catalog sau GC) este un depozit de baze de date distribuite, care stochează informații despre fiecare obiect, și facilitează, de asemenea, căutarea în pădure Active Directory. Catalogul la nivel mondial este stocat pe controlerele de domeniu care sunt desemnate ca servere de catalog global și distribuite prin replicare cu mai multe colegii. Primul controler de domeniu instalat într-o pădure este configurat automat ca un server de catalog global. Puteți transfera posibilitatea unui catalog global la alte controlere de domeniu, precum și a schimba locația catalogul global este instalat în mod implicit, ceea ce indică un controler diferit. Catalogul globală permite utilizatorilor și aplicații pentru a găsi obiecte în orice domeniu în pădure curentă prin căutarea atributele incluse în catalogul global, care sunt identificate în schema ca un anumit set de atribute (Atribut set parțial, PAT). Să presupunem că aveți o pădure cu trei domenii, fiecare domeniu conține două controlere de domeniu. Toate cele șase controlere de domeniu susțin replicarea lemnului schemă și configurare. Prin urmare, controlerele de domeniu A conține contextul domeniului de denumire A controlere replica în domeniul B - domeniu replica denumire B și C, respectiv, controlerele de domeniu de domeniu replica C. Luați în considerare următorul scenariu: Domeniul C utilizatorul vrea să găsească domeniul utilizatorului A. În acest caz, atunci când un utilizator efectuează un domeniu de căutare, domeniul C al obiectului a, rezultatele interogării oferă un director la nivel mondial. Dar dacă obiectul conține un atribut specific care nu este activat în mod implicit în catalogul global, puteți adăuga acest atribut folosind „Driving Active Directory» completare snap. Astfel, în cazul în care nu au fost pentru serverul de catalog global este un controler de domeniu care primește cereri de căutare de obiecte în alte domenii pentru interogări transmise operatorului în domeniul obiectului dorit de căutare. În acest articol veți învăța despre conceptul însuși de un server catalog global, arhitectura lor, protocoale, procese, structura fizică, dar și despre multe nuanțe asociate cu această tehnologie.
Interacțiunea cu alte obiecte de server de catalog global
serverele de catalog global sunt implicate în următoarele procese și să interacționeze cu servicii:
Instalarea Active Directory. Catalogul global este configurat automat pe primul controler de domeniu, care este instalat în pădure;
Interacțiunea dintre serverele de catalog global cu obiecte de server, după cum urmează:
Fig. 1. Exemplu de interacțiunea dintre serverele de catalog global cu servicii de domeniu Active Directory
După crearea noului controler de domeniu DC02, administratorul de sistem îl definește ca un server de catalog global și reproduce un atribut parțial set de DC01. Domeniul A,, DC01 DC02 reproduce modificări în domeniul A, iar DC02 - replicare actualizări de date pentru DC01 domeniul B.
În etapa „A“ computer client KlientH trimite o cerere către catalogul global, care transmite cererea către serverul DNS-server pentru a găsi cel mai apropiat server catalog global „B“, apoi contactele client server catalog global pentru a efectua interogarea sa de „C“.
scenarii de dezvoltare și utilizarea de servere de catalog global
Un server de catalog global este utilizat de obicei în situații care sunt descrise în următoarele subsecțiuni.
Deoarece controlerul de domeniu care acționează ca un server de catalog global care conține obiectele din toate domeniile în pădure, catalogul global oferă utilizatorilor și aplicații cu posibilitatea de a căuta date de director în toate domeniile de pădure, indiferent de locul de depozitare. În cazul lemnului este compus dintr-un domeniu, toate controlerele de domeniu au acces deplin la scriere copii ale fiecărui obiect în domeniul pădurii. Atunci când un utilizator caută pentru orice membru al sistemelor de securitate, specificând meniul „Start“ în parametrul de interogare „Catalogul complet de produse.“ atunci căutarea se face direct în catalogul global.
Pentru a accesa Active Directory obiectele utilizează un protocol Lightweight Directory (Lightweight Directory Access Protocol, LDAP). cereri de căutare LDAP pot fi trimise și primite de servicii de director Active Directory pe portul 389 (LDAP, portul implicit) și portul 3268 (catalog de port global). trafic LDAP care utilizează Secure Sockets Layer (SSL) protocol de autentificare oferă acces la porturile 686 și 3269 în consecință, comportamentul de căutare care se aplică la porturile 389 și 3268 sunt, de asemenea, aplicate la cererile LDAP corespunzătoare prin porturile 686 și 3269 Atunci când este trimisă cererea de căutare pe portul 389, căutarea este efectuată într-o partiție director de domeniu. Dacă subiectul nu se află în domeniu, a se vedea schema de director sau de configurare, controlerul de domeniu transmite cererea către un controler de domeniu în domeniu care este specificat în numele distinctiv al obiectului. În cazul în care cererea de căutare este trimisă la portul 3268, apoi sondaje toate partițiile director din pădure, care este, de căutare este procesat de un server de catalog global. Este demn de atenție faptului că numai serverele de catalog global pot primi cereri de LDAP pe portul 3268.
După ce utilizatorul introduce cererea sa, cererea este redirecționat către portul 3268 și trimis pentru a rezolva server catalog global. La rândul său, în cazul în care pentru orice motiv, în domeniul Active Directory nu este un server catalog global, utilizatorii sau aplicațiile nu pot efectua căutări în pădure. De asemenea, este demn de remarcat faptul că toate replicile pe care sunt reproduse în catalogul global pentru a include toate drepturile de acces pentru fiecare obiect și atribut. Asta este, dacă sunteți în căutarea pentru o facilitate la care accesul este interzis pentru tine, nu vei vedea în lista de rezultate. Prin urmare, utilizatorii pot găsi doar obiecte la care au acces.
Confirmarea referiri la obiecte în pădure
controlere de domeniu folosesc catalogul global pentru a valida referințele la obiecte ale altor domenii în pădure. Aceasta este, în cazul în care un controler de domeniu conține un obiect cu un atribut care conține o referință la un obiect într-un alt domeniu, controlerul de domeniu verifică link-ul prin contactarea unui server de catalog global.
Nume de utilizator de autentificare
Procesul de intrare de utilizator și interacțiunea dintre catalog global este după cum urmează:
Fig. 2. Procesul de interacțiune dintre utilizator de intrare și un catalog global
- Deoarece domeniul utilizatorului nu este neapărat la fel ca UPN-sufixul, controlerul de domeniu arată participanților cel mai apropiat de securitate de domeniu de la site-ul, care se află în computerul client;
- Controlerul de domeniu, care încearcă să contacteze clientul, determină dacă DNS-nume de sufixul de domeniu UPN, cu controlerul de domeniu autorizat. În cazul în care numele de domeniu în UPN-sufix corespunde domeniului controlerului de domeniu care se ocupă de autentificarea clientului, dar numele de utilizator nu este găsit, controlerul de domeniu este asociat cu un server de catalog global. De asemenea, în cazul în care numele de domeniu în UPN-sufixul nu se potrivește domeniu al controlerului de domeniu, controlerul de domeniu este asociat cu un server de catalog global;
- Folosind un obiect utilizator atribut userPrincipalName, la nivel mondial căutările catalog de server pentru numele distinctiv al obiectului utilizator și returnează valoarea unui controler de domeniu;
- Controlerul de domeniu preia numele de domeniu al numelui distins, și returnează valoarea rezultată clientului;
- Clientul solicită un controler de domeniu pentru domeniul dvs..
Informații despre apartenența la un grup universal într-un mediu cu mai multe domenii
Universal Group este, de asemenea, un grup de securitate care vă permite să gestioneze resursele distribuite pe mai multe domenii. În timpul rulării, logon interactiv, un controler de domeniu preia calculator identificatorii SIDpolzovatelskogo. Din acest motiv, atributul de membru al grupurilor universale. care conține o listă a membrilor grupului este replicat la catalogul global. De exemplu, un utilizator în pădure cu mai multe domenii este conectat la domeniul, în care grupurile permise universale. În acest caz, controlerul de domeniu pentru a obține de membru al grupului universal ar trebui să contacteze serverul global catalog. În cazul în care utilizatorul nu a conectat la domeniul și serverul de catalog global nu este disponibil, se poate intra doar pe sistemul local. Dar, în cazul în care serverul de catalog global nu este disponibilă atunci când un utilizator se conectează în domeniul în care sunt disponibile grupuri universale, iar utilizatorul este deja conectat la acest domeniu, calculator client utilizatorului poate utiliza pentru a accesa datele de conectare stocate în memoria cache.
Caching membru al grupului universal
Prin urmare, controlere de domeniu cu comunicații nesigure cu un server de catalog global, este recomandat să activați și să configurați cache-ul de membru al grupului universal. În același timp, informații privind participarea utilizatorilor din grupul universal, poate fi upgradat la 500 de membru la fiecare 8 ore. După prima conectare, cache-ul utilizatorului este actualizată periodic, în timpul de 180 de zile.
În mod implicit, atributele de utilizator și de computer obiecte nu sunt umplute. Următoarea ilustrație prezintă un exemplu de construire a unei liste de identificatori de securitate controler de domeniu pentru cache:
Fig. 3. Exemplu de listă de identificatori de securitate controler de domeniu pentru a cache
Arhitectura catalogului la nivel mondial
arhitectura de catalog global server este diferit de arhitectura de server, care nu are un catalog global folosind un port personalizat LDAP 3268, care trimite cereri direct la catalogul global. Cererile care merg la portul 3268, de asemenea, format ca orice LDAP-interogări, dar Active Directory Domain Services schimbare de comportament de căutare în funcție de port. Asta este, cererile de portul 3268 sunt direcționate către partițiile directoare ale catalogului global, inclusiv partiția director read-only este, pentru care este autorizat acest server. Cererile trimise la portul 389 pe domeniul cu capacitatea de a înregistra, precum partițiile directorul de configurare, și circuite de aplicații replici, care sunt localizate pe server catalog global ca un controler de domeniu. În plus, în timpul comunicării cu serverele de catalog global pentru a obține de membru al grupului universal, atunci când un utilizator în sistem, controlere de domeniu folosesc interfata replicare de proprietate.
În consecință, principalele componente ale unui catalog global includ:
Următoarea ilustrație arată arhitectura catalogului la nivel mondial:
Fig. 4. Arhitectura catalogului la nivel mondial
Proces-verbal al catalogului mondial
Protocoale și interfețe pe toate controlerele de domeniu sunt la fel și nu există protocoale specifice pentru servere de catalog global. În acest caz, suntem interesați în patru interfețe și trei protocoale. Importanța unui catalog la nivel mondial este faptul că un controler de domeniu utilizând protocoalele sale de replicare proprii RPC nu numai pentru replicare, dar, de asemenea, pentru a comunica cu un server de catalog global atunci când preluați informații despre calitatea de membru universal de grup și membri actualizează memoria cache în grup, atunci când „Caching membru al grupului universal. " Următoarele protocoale sunt utilizate pentru toate global catalog de cerințe:
- Protocol de acces Lightweight Directory (LDAP).
- Simplu protocol de transfer e-mail (SMTP).
- Procedura de apel de la distanță (RPC).
Următoarea ilustrație arată protocoalele din catalogul global:
Fig. 5. Interfețe și protocoale de catalog global
Structura fizică a catalogului mondial
Deoarece controlerul de domeniu, catalog global stochează o partiție director de domeniu inscriptibil în care obiectele sunt aranjate cu toate capcanele. Este, de asemenea, un server de catalog global stochează un atribut set parțial (PAS), cu dreptul de a citi toate obiectele din alte domenii într-o pădure multidomeniu. atributele care definesc obiecte de schema sunt obiecte attributeSchema, care includ atributul isMemberOfPartialAttributeSet. Dacă valoarea acestui atribut este «adevărat», atributul este replicat la catalogul global. Global topologie replicare catalog este generat automat de KCC (Knowledge Consecvența Verificator, KCC) - un proces integrat care pune în aplicare o topologie de replicare care asigură livrarea conținutului de director al fiecărei secțiuni pentru fiecare server de catalog global.
Atributele care sunt replicate în catalogul global în mod implicit, sunt incluse în setul de bază definit de Microsoft Corporation ca atribute care sunt cele mai frecvent utilizate în căutare. Dacă este necesar, pentru a specifica atribute suplimentare, puteți utiliza Microsoft Management Console (MMC) «Active Directory schema“. Pentru a atribui un membru attributeSchema obiect al PAS, în completare snap-in trebuie să selectați „Replicare acest atribut la catalogul global.“ atribut isMemberOfPartialAttributeSet care specifică valoarea «adevărată».
O reprezentare fizică a directorului de date la nivel mondial nu este diferit de controlerul de domeniu, care este, în magazinele de date globale Catalog Ntds.dit atribute ale unui obiect într-un singur fișier. Un controler de domeniu care nu este un server catalog global, fișierul Ntds.dit conține replică inscriptibil a fiecărui obiect în partiție director un domeniu pentru domeniul dvs., precum și partiții de director inscriptibil, și configurația circuitului.
De exemplu, ia în considerare un scenariu destul de tipic. Serverul global catalog este o replică completă a domeniului său, precum și replica parțială numai de citire toate celelalte domenii din pădure. La acest server catalog global toate partițiile director de pe server catalog global sunt stocate în directorul de fișiere de baze de date (Ntds.dit). În consecință, în acest caz, nu există nici un registru central de atribute separate, catalog global.
Componentele structurii fizice a catalogului Global includ:
- fișierul bazei de date Ntds.dit, care stochează o replică a obiectelor Active Directory, efectuate de orice controler de domeniu, inclusiv servere de catalog global;
- pădure Active Directory, adică un set de domenii care cuprind structura logică Active Directory și care sunt căutate în catalogul global;
- controlere de domeniu care stochează o diviziune completă a directorului de domeniu partițiile inscriptibile și configurația de director și circuitul de lemn;
- Serverul global catalog, care este un controler de domeniu care conține o copie completă a fiecărui obiect inscriptibil într-un domeniu partiție director pentru domeniul dvs., precum și alte domenii de citire replica în pădure multidomeniu.
Următoarea ilustrație prezintă structura fizică a catalogului la nivel mondial:
Fig. 6. Structura fizică a catalogului mondial
Puteți selecta orice întrebare Dmitry complet anonim aici.